Cos'è la shadow IT?

Con shadow IT si fa riferimento all'uso di software, dispositivi, sistemi o applicazioni non autorizzato o non noto al reparto IT da parte di altri reparti o singoli utenti. Il fenomeno della shadow IT è aumentato notevolmente negli ultimi anni, in particolare con la diffusione dello smart working e dell'utilizzo di servizi e applicazioni basati su cloud. Da un lato, la shadow IT può accelerare la produttività e l'innovazione, ma dall'altro può creare gravi rischi per la sicurezza e problemi di conformità, soprattutto quando i dati vengono archiviati in posizioni di cui il reparto IT non è al corrente. 

Esempi di applicazioni e attività shadow IT

Si possono considerare applicazioni shadow IT quelle che vengono utilizzate per motivi di lavoro senza coinvolgere il reparto IT della propria organizzazione. 

Queste applicazioni si dividono in quattro categorie principali:

• Applicazioni basate su cloud accessibili direttamente tramite la rete aziendale.
• Applicazioni basate su cloud accessibili tramite soluzioni SaaS come Microsoft Office 365 o Google Workspace.
• Software preconfenzionati acquistati da un reparto o un utente finale e caricati nel sistema (fenomeno oggi meno comune di un tempo).
• Software personalizzati eseguiti sul portatile aziendale di un utente.

Rientrano nelle attività shadow IT:

• Il download e l'uso non autorizzato di app per la gestione dei workflow o la produttività come Trello o Asana.
• La creazione e l'uso di workload cloud configurati tramite account o credenziali personali o di reparto.
• L'acquisto e/o l'utilizzo non autorizzato di applicazioni SaaS di terze parti oppure l'abbonamento ad altri servizi cloud che non sono monitorati dal reparto IT aziendale.
• L'uso di piattaforme di messaggistica personali come WhatsApp o Signal per comunicazioni di lavoro. 
• L'uso di account e-mail personali per svolgere le proprie mansioni di lavoro. 
• L'uso non autorizzato di dispositivi personali (BYOD). 

Rischi della shadow IT

È difficilissimo, se non praticamente impossibile, proteggere i dati se i dipendenti li memorizzano in posizioni che sfuggono al controllo dell'azienda, e il reparto IT non può sapere quali o quanti dati dei clienti sono a rischio se ignora dove si trovano. 

Tra i principali rischi per la sicurezza derivati dalla shadow IT abbiamo:

Perdita di dati

L'azienda non ha accesso ai dati salvati negli account o nei dispositivi personali di un utente, perciò questi dati andranno persi nel momento in cui il dipendente si dimette o viene licenziato. Inoltre, poiché i dati negli account personali non sono soggetti alle policy e procedure aziendali, è possibile che siano sottoposti a operazioni di backup, archiviazione o crittografia non conformi.

Visibilità e controllo ridotti

La shadow IT porta con sé gravi problemi di visibilità e controllo per gli stessi motivi indicati per la perdita di dati: non puoi mettere in sicurezza i dati che non vedi. Il ricorso maggiore al self-provisioning può sì aumentare la produttività e l'adozione di nuovi strumenti, ma al tempo stesso decentralizza il provisioning delle risorse, per cui l'IT non sa cosa sta succedendo, con chi e dove. Di conseguenza, non esiste un'unica fonte di attendibilità, semmai una fonte incompleta o compromessa. 

Maggiore vulnerabilità agli attacchi informatici

Ogni istanza shadow IT aumenta la superficie di attacco di un'organizzazione e poiché non sono visibili al reparto IT, non sono protette dalle soluzioni di sicurezza informatica aziendali. In più, gli utenti di applicazioni shadow IT spesso utilizzano credenziali e password poco complesse che gli hacker riescono a sfruttare facilmente per infiltrarsi nella rete aziendale.

Aumento dei costi dovuto alla mancanza di conformità

La shadow IT spesso comporta costi indiretti sotto forma di sanzioni normative e danni alla reputazione in caso di violazione dei dati. Inoltre, per quanto la shadow IT rappresenti un modo per ridurre i costi, nel lungo termine l'uso di applicazioni e servizi di questo tipo, ad esempio per il data storage, non è così conveniente su scala.

Come gestire e limitare i rischi della shadow IT

Perché la shadow IT è così diffusa?

Il motivo principale è che i dipendenti non hanno gli strumenti necessari per svolgere al meglio il loro lavoro. 

Con la proliferazione delle istanze shadow IT, la responsabilità per gestirle e limitarle ricade su chi deve assicurarsi che i dipendenti possano usare tutti gli strumenti, le risorse e i servizi di cui hanno bisogno per lavorare bene. 

Per limitare i rischi legati alla shadow IT, le organizzazioni possono:

• Formare i dipendenti sull'uso sicuro e corretto di tutti gli strumenti e le tecnologie a disposizione 
• Applicare regole e protocolli per il provisioning di nuovi servizi
• Promuovere e rafforzare costantemente (con video, corsi di formazione, ecc.) le policy aziendali di sicurezza e conformità

Oltre a tutto questo, la cosa migliore che un'azienda può fare per limitare i rischi è utilizzare una tecnologia avanzata come FlashArray™ di Pure Storage® che, insieme alle snapshot, aumenta l'accessibilità e la visibilità dei dati per l'analisi di più origini mantenendo i dati in locale. Queste soluzioni possono interagire con i dati archiviati direttamente nell'object storage di FlashBlade® o nel cloud con Pure Cloud Block Store™, eliminando la necessità di creare copie distinte dei dati condivisi con altri strumenti o workflow.

Scarica l'eBook "Snapshot per principianti".

Scopri di più su FlashBlade//S™. 

Scarica la guida completa alla data protection.